Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 165
Очередное развлечение закомплексованых неудачников?
насчёт закомплексованных — это зря. написать хороший вирус под ОС, которая у тебя под руками — дело не очень простое и поначалу довольно прикольное ;)
а написать вирус под систему, которая даже не под рукой — это намного больший challenge :)
а написать вирус под систему, которая даже не под рукой — это намного больший challenge :)
согласен. Пишут вирусы талантливые программисты, а применяют их - тоскливые неудачники :)
согласен. вот было бы круче написать вирус который бы за собой почистил и хабровский ящик и тот email ящик, на который приходят тоннами оповещения о получении личного сообщения на хабре... :D
Интересно, как талант связан с закомплексованностью? Талантливые люди закопмлексованы или, по определению, нет? Надо бы холивар какой-то устроить, а то скучно что-то.
теперь не отмажемся ;)
у меня та же фигня
у меня та же фигня
Не только друзьям просьба заметить. У меня Фритоника нет в друзьях.
Так же хотел бы добавить ссылку на код самого скрипта — http://kadabra.iatp.org.ua/habr/habr.js
Так же хотел бы добавить ссылку на код самого скрипта — http://kadabra.iatp.org.ua/habr/habr.js
Забанить обоих, чтобы алгоритм нарушился и все.
Жоская тема.
А, помоему, очень весело :D
Вот к чему приводит жажда денег кармы! :)
А в Опере ничего не появляется при клике.
А че, забавно, молодцы :) А то что за сеть IT-шников без эпидемий :) Вполне безобидно но навязчиво :)
Прикрыли оперативненько :-)
Да здравствует ff+No Script!!!
а это не опасно для компьютера?
Сразу вспоминается попа на сайте майкрософт из фильма "Хоттабыч".
P.S. Делал её кстати тоже неудачник.
P.S. Делал её кстати тоже неудачник.
Мягко говоря, мне насрать, что это такое и как оно работает. Очень мерзко, что кто-то ради прикола написал бяку и загадил всем ящики. А такие «приколы» вынуждают людей быть постоянно настороже, не доверять друг другу, замыкаться в себе, фильтровать почту, тратя на это дополнительное время, которое хотелось бы тратить на общение в хабратопиках, а не на защиту от всяких разыгравшихся «шалунов». Что за манера — срать в чистом месте?!!
Обоих забанить и карму до нуля сбросить, чтоб неповадно больше было!
Обоих забанить и карму до нуля сбросить, чтоб неповадно больше было!
А прикинь картину — могли б и вообще ничего не писать! Но не гадить куда труднее, особенно если руки чешутся.
Учитывая, что письмо было написано в хабрастиле с НЛО и прочими прибамбасами, и минеты никто не обещал, оно не вызывало подозрений. И если бы не стали сыпаться подобные письма от других хабралюдей, то все это осталось бы славной безделицей, коей мне это дело и показалось в самом начале.
Учитывая, что письмо было написано в хабрастиле с НЛО и прочими прибамбасами, и минеты никто не обещал, оно не вызывало подозрений. И если бы не стали сыпаться подобные письма от других хабралюдей, то все это осталось бы славной безделицей, коей мне это дело и показалось в самом начале.
Кстати, в детсаду учат и тому, что делать людям даже мелкие пакости тоже не надо.
Пользуясь случаем.... граждане, помогите протетсировать http://blog.supremedesign.ru/ на предмет наличия подобных дыр?
зы. я тут ни при чём, так совпало, двигло делаю
зы. я тут ни при чём, так совпало, двигло делаю
а зачем минусы? я реально полуную почту получил писем счастя!
Люди, не будьте стадом, я здесь ни при чём. Штуку, которая проверяет инпут на предмет наличия всякой ерунды, написал реально очень крутой спец — нужно протестировать. Если будет всё ок я нипишу статью как защититься раз и надолго, или даже сервис могу такой сделать.
В моей хабрапочте ничего и не было, видимо потому-что нет первого и второго круга.
самая существенная ошибка авторов вируса - они не смогли проверить, получил уже получатель сообщения одно такое или нет.
если бы каждый хабраюзер получил по одному, а не по шесть-десять одинаковых вирусосообщений, то это было бы весело, а не неприятно.
если бы каждый хабраюзер получил по одному, а не по шесть-десять одинаковых вирусосообщений, то это было бы весело, а не неприятно.
а как красиво хакнули...
<img //onclick</code>
хорошо, что у меня нет друзей =)
Интересно. Пачка сообщений в ящике стала причиной моего захода на хабр, давненько я тут не был.
Думал нашли какой-то интересный материал, который я м/б написал - прославился и люди просят автографф.. ан нет(
:)
Думал нашли какой-то интересный материал, который я м/б написал - прославился и люди просят автографф.. ан нет(
:)
И тут же минусы всем направо и налево. Конечно, это все мелочи, и на самом деле мне пофигу. Но лишний раз убеждаешься, сколько вокруг чма всегда крутится :) Что-нибудь неожиданно-приятное сделать, чтобы все посмеялись и с удовольствием за это накинули кармы — западло для настоящего пацана. А вот пукнуть громко в надежде испортить настроение всем собравшимся — деяние, достойное уважающего себя взрослого человека :) Эх, дети, дети... Нет на вас, блин, освежителя...
Скучный вы.
Ну, вот такое у меня извращенное мировосприятие — не понимаю я шуток про размазню из какашек по стене и «вирусы», которые типа должны всех довести до экстаза :) Если это на Хабре стало в порядке вещей, то мне очень жаль — раньше я с таким говном здесь не сталкивался.
Ну а как же игры разума? То, что вирус прошёлся по Хабру, уже вызов интеллекту. Да притом, это именно чистый хабравирус! Изощрённо и очень остроумно. :)
Люди радуются, что кто-то дал возможность заняться любимым занятием - в очередной раз интересно поломать голову.
А что, Вам очень помешала эта почта?
Люди радуются, что кто-то дал возможность заняться любимым занятием - в очередной раз интересно поломать голову.
А что, Вам очень помешала эта почта?
Честно говоря, мне абсолютно не помешала эта почта. Мне была интересна реакция людей на мою резкую критику авторов вируса. Выводы любопытные, но я воздержусь от их опубликования — это мое сугубо личное мнение.
Еще минусов мне дайте, чтоб спокойнее жилось :)))
Если пофигу, если человеку на самом деле пофигу, он не реагирует на минусы к своим комментариям и падающую карму, а возможно пишет что-нибудь неожиданно-приятное, а если не пофигу и что-нибудь ценное написать не получается, многие попадают в замкнутый круг и начинают думать, что их минусуют дети или чмо и получают еще больше минусов просто за неоригинальность, лицемерие и скуку. Примерно так.
То есть мне нужно было просто порадоваться за полученные письма и сказать, какие ребята молодцы? Мда, мне точно надо что-то менять в своем хабровосприятии.
Я всего лишь писал про то, что когда вашим комментариям ставят минусы и вам очень обидно - не надо в одной записи и жаловаться на это и писать какие все плохиши и как вам пофигу. Поверьте мне, всё в этой ветке, включая пофигу и еще минусов мне дайте было на Хабре не один раз и следующий вывод, который вы сделаете скорее всего будет "Нужно изменить систему кармы", хотя этот случай как раз показывает, что она довольно-таки неплохо работает. Вы просто не понимаете, что получаете минусы по причинам вообще не связанным с этим хабравирусом. Я много пишу, а вообще 
Nightquest
NightquestОх, окажите любезность, не нужно повторять пустые слова. Такие отзывы стоит принимать во внимание только от людей, которые хорошо тебя (в данном случае меня) знают. С системой кармы все в порядке, и я сознательно пошел на этот шаг — было просто интересно, работает или нет. За свою «истерику» я получил по голове, и мне кажется, что вполне заслуженно. Но что же произошло с авторами этого веселого вируса, кроме того, что их посты НЛО утащило?
Любопытно, все, меня заминусовавшие, причастны к сегодняшнему вирусоналету, или эти люди на свой счет восприняли мое обращение? В любом случае, мне уже страшно — хабраобщество открылось мне с довольно неприятной стороны... то есть на адекватность рассчитывать не приходится. Сожалею.
Это все неприятно конечно, но с другой стороны администрация хабра начинает вносить реальные изменения\улучшения чуть только не после таких прецедентов, по остальным вопросам ссылки на уже легендарный супер-хабр
Неужели все закончилось?
все в который раз убедились в том, на сколько дырявый хабр и как глубоко по барабану администрации на всё происходящее.
ну что мешает сделать защиту от авто-форм (проверка referer'а, если кто не в курсе) хотя бы на отправку писем и голосования за карму (в идеале - вообще на всё, что можно)? такие фокусы, как сегодня, станет провернуть крайне сложно.
ну что мешает сделать защиту от авто-форм (проверка referer'а, если кто не в курсе) хотя бы на отправку писем и голосования за карму (в идеале - вообще на всё, что можно)? такие фокусы, как сегодня, станет провернуть крайне сложно.
Это может быть защитит от случайных роботов. Но если скрипт написан специально для проекта, то это все полнейшая чушь. Самое страшное препятствие для автомата - это распознать картинку, но и это легко обходится, все остальные методы достаточно просто обходятся! У меня есть такой опыт и это не пустые слова. Меня останавливали только Java аплеты и флешевые формы, но если было очень надо то и это обходилось. Надо не защиты навешивать, а искоренять глупые ошибки в самом проекте!
то есть, если делать ajax запрос, то referer от него будет не пустым? я думаю иначе.
а вот если как раз проверять referer, то запрос просто не пройдёт.
курим иформацию по авто-формам
а вот если как раз проверять referer, то запрос просто не пройдёт.
курим иформацию по авто-формам
Вам, батенька, самому не помешало бы вкурить полезной и, главное, правильной информации ;)
смешно, честно говоря.
чуть ниже дали ссылку, обсуждение немного глупое (очень много высказываний, основанных только на предположении/незнании), но кое-какую информацию взять оттуда можно.
кроме того, я сам вам примерно описал как это работает, а вот аргументов с вашей стороны не услышал.
поделитесь информацией, если у вас действительно такие великолепные знания в данном вопросе.
p.s.: похоже, понизить карму проще, чем признать свою ошибку. на хабре, на самом деле, я другого и не ожидал.
чуть ниже дали ссылку, обсуждение немного глупое (очень много высказываний, основанных только на предположении/незнании), но кое-какую информацию взять оттуда можно.
кроме того, я сам вам примерно описал как это работает, а вот аргументов с вашей стороны не услышал.
поделитесь информацией, если у вас действительно такие великолепные знания в данном вопросе.
p.s.: похоже, понизить карму проще, чем признать свою ошибку. на хабре, на самом деле, я другого и не ожидал.
1. Про ссылку чуть ниже. После функции в первом посте читать дальше нет смысла ) Зачем Вы меня отсылаете к "глупому" обсуждению? И если у Вас такие "великолепные знания" зачем вы читаете форум для новичков и тем более ссылаетесь на него?
2. Делюсь информацией. HTTP referer подставляется браузером автоматически и может быть ЛЕГКО подменен или удален. Передается в заголовке HTTP запроса и может быть также легко вставлен скриптом, хоть серверным, хоть js-скриптом на стороне пользователя. Потом. Обсуждаемый вирус распространялся по внутренней почте Хабра, что само по себе лишает Ваше высказывание про HTTP referer смысла (надеюсь догадаетесь почему).
3. Опять про ссылку. Проверять целостность форм надо только для того, чтобы гарантировать, что скрипт получил все необходимые данные из формы. Не более того, от хака это не защитит. Как работает простейший робот по рассылке спама по конкретным форумам. Сначала анализируются формы, затем пишется скрипт, который ПОЛНОСТЬЮ имитирует работу человека: получает форму, анализирует ее, готовит данные и посылает правильные HTTP запросы как если бы сам пользователь заполнил и отправил форму. Самая большая трудность - это распознать картинку, если такая есть, но и это не сложный вопрос. Еще раз. Нет непроходимых форм! Даже если у Вас на странице работает проверочный JS с хитростями, то и его работа ЛЕГКО имитируется! А по приведенной ниже ссылке - это элементарная защита от дурака. Или скорее от себя.
PS: Прежде чем вопить про сниженную карму, посмотрите сначала, есть ли обвиняемого такая возможность и после этого засуньте этот PS куда следует. Удачи!
PPS: Советую забраться повыше и плюнуть посильнее на свою карму, ибо молиться на нее нет смысла. А то еще комплекс разовьется и будете писать про "одминского кота" ради ее повышения. Еще раз удачи!
2. Делюсь информацией. HTTP referer подставляется браузером автоматически и может быть ЛЕГКО подменен или удален. Передается в заголовке HTTP запроса и может быть также легко вставлен скриптом, хоть серверным, хоть js-скриптом на стороне пользователя. Потом. Обсуждаемый вирус распространялся по внутренней почте Хабра, что само по себе лишает Ваше высказывание про HTTP referer смысла (надеюсь догадаетесь почему).
3. Опять про ссылку. Проверять целостность форм надо только для того, чтобы гарантировать, что скрипт получил все необходимые данные из формы. Не более того, от хака это не защитит. Как работает простейший робот по рассылке спама по конкретным форумам. Сначала анализируются формы, затем пишется скрипт, который ПОЛНОСТЬЮ имитирует работу человека: получает форму, анализирует ее, готовит данные и посылает правильные HTTP запросы как если бы сам пользователь заполнил и отправил форму. Самая большая трудность - это распознать картинку, если такая есть, но и это не сложный вопрос. Еще раз. Нет непроходимых форм! Даже если у Вас на странице работает проверочный JS с хитростями, то и его работа ЛЕГКО имитируется! А по приведенной ниже ссылке - это элементарная защита от дурака. Или скорее от себя.
PS: Прежде чем вопить про сниженную карму, посмотрите сначала, есть ли обвиняемого такая возможность и после этого засуньте этот PS куда следует. Удачи!
PPS: Советую забраться повыше и плюнуть посильнее на свою карму, ибо молиться на нее нет смысла. А то еще комплекс разовьется и будете писать про "одминского кота" ради ее повышения. Еще раз удачи!
пардон, но вы не правы. политика безопасности браузера (соблюдающего стандарты) не позволяет подменить referer в ajax-запросах. в этом можно легко убедиться:
foo.htm:
ref.php:
foo.htm:
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"><html><head><title></title></head><body>
<script>
var ajax = new XMLHttpRequest();
ajax.onreadystatechange = function ()
{
try
{
if(ajax.readyState != 4)
return;
if(ajax.status == 200)
alert(ajax.responseText);
}
catch (error)
{
}
};
ajax.open("get", "http://localhost/text/ref.php", true);
ajax.setRequestHeader("Referer", "http://localhost/");
ajax.send(null);
</script>
</body></html>
ref.php:
<?
echo $_SERVER['HTTP_REFERER'];
?>
что-то не очень убедительно ;)
Вы только что сами доказали, что все вышесказанное Вами не имеет никакого смысла.
интересная тактика... однако, не аргументированно.
Если политика безопасности браузера не позволяет подменить Referer js-скриптом, то его проверка не требуется. В данном случае рассматривается ситуация именно js-скрипта, отсюда следует мое предыдущее высказывание. Удачи.
мда, что-то я вас совсем не понимаю. так и быть, устрою ликбез небольшой.
вы имеете представление о том, что такое referer? у меня сложилось стойкое ощущение, что абсолютно не имеете. на всякий случай поясню: referer - это http заголовок, передаваемый серверу браузером, указывающий на то, с какой страницы пришёл пользователь на текущую. если быть точнее, то это страница, с которой делается запрос.
никакими средствами страница не может подменить реальную информацию, передаваемую в referer (иначе, даже чисто логически, какой в нём толк?). в этом мы разобрались даже на примерах.
авто-форма - страница с формой-эксплоитом, на которую любым способом заманивается юзер-жертва. как только юзер попал на страницу, происходит перенаправление на атакуемый сайт, где происходит какая-нибудь гадость от лица пользователя-жертвы.
метод защиты заключается в том, чтобы принимать запросы на формах сайта (особенно это относится к функциям амнистирования и различного управления сайтом) только в тех случаях, когда запрос пришёл от допустимых страниц и не более. попробуйте отключить у себя referer и удалить своё сообщение на любом punbb-форуме. не выйдет, уверяю.
вернёмся к нашему случаю. подобной защиты конкретно на механизме рассылки сообщений не предусмотрено, из-за этого я и вы получили стопку писем в почтовый ящик сегодня утром.
я даже, признаться, серьёзно удивлён, что всё так легко обошлось, ибо сам отлично понимаю что и как возможно было сотворить таким посещаемым сайтом, имея подобную лазейку.
я достаточно глубоко вам всё обосновал? советую взять информацию на вооружение.
ваши же выводы мне кажутся совершенно не логичными: вы либо не умете читать, либо вы действительно такой "отличный специалист", каким вы очень хорошо прикидываетесь сами того не замечая.
похоже, что таких же "специалистов" тут очень немало (по-моему это даже не является новостью), очень жаль.
вы имеете представление о том, что такое referer? у меня сложилось стойкое ощущение, что абсолютно не имеете. на всякий случай поясню: referer - это http заголовок, передаваемый серверу браузером, указывающий на то, с какой страницы пришёл пользователь на текущую. если быть точнее, то это страница, с которой делается запрос.
никакими средствами страница не может подменить реальную информацию, передаваемую в referer (иначе, даже чисто логически, какой в нём толк?). в этом мы разобрались даже на примерах.
авто-форма - страница с формой-эксплоитом, на которую любым способом заманивается юзер-жертва. как только юзер попал на страницу, происходит перенаправление на атакуемый сайт, где происходит какая-нибудь гадость от лица пользователя-жертвы.
метод защиты заключается в том, чтобы принимать запросы на формах сайта (особенно это относится к функциям амнистирования и различного управления сайтом) только в тех случаях, когда запрос пришёл от допустимых страниц и не более. попробуйте отключить у себя referer и удалить своё сообщение на любом punbb-форуме. не выйдет, уверяю.
вернёмся к нашему случаю. подобной защиты конкретно на механизме рассылки сообщений не предусмотрено, из-за этого я и вы получили стопку писем в почтовый ящик сегодня утром.
я даже, признаться, серьёзно удивлён, что всё так легко обошлось, ибо сам отлично понимаю что и как возможно было сотворить таким посещаемым сайтом, имея подобную лазейку.
я достаточно глубоко вам всё обосновал? советую взять информацию на вооружение.
ваши же выводы мне кажутся совершенно не логичными: вы либо не умете читать, либо вы действительно такой "отличный специалист", каким вы очень хорошо прикидываетесь сами того не замечая.
похоже, что таких же "специалистов" тут очень немало (по-моему это даже не является новостью), очень жаль.
видимо, вы не имеете представления ни о том, ни о другом
полностью отключён referer очень у немногих, т.к. он очень часто используется для точно таких же целей на многих форумах. лично я использую расширение RefControl для Firefox, позволяющее очень удобно задать фильтры для сайтов, которым нужно отдавать referer. рекомендую.
а защищаться лучше всем сразу, на войне все методы хороши.
а защищаться лучше всем сразу, на войне все методы хороши.
На самом деле, хороший способ для портала напомнить о себе.
На Trade Vibes раз в две недели приходят письма с обзором самых рейтингвых топиков и наиболее ярких выражений.
Возможно это будет востребованно и здесь?
На Trade Vibes раз в две недели приходят письма с обзором самых рейтингвых топиков и наиболее ярких выражений.
Возможно это будет востребованно и здесь?
Не подумайте плохо, но ко мну ничего не пришло..
авторы хабрахабра надопускали ошибок где только возможно.
Я прошу прощения, а у вас за плечами разработка большого числа порталов подобного качества? Мне кажется, что критиковать разработчиков можно, только если сам можешь сделать лучше, удобнее, гибче... ну, и так далее. Идеального ничего нет, а самые худшие последствия от этого вируса... моя упавшая карма, например :D Только в этом авторы вирусняка уже не виноваты — код кое-где в другом месте хочется подправить :)
у меня огромный опыт юзера.
критиковать можно всегда, адекватную критику обычно принимают к сведению, а не близко к сердцу.
но тем не менее, в моих словах не было критики, всего лишь личное ощущение и опыт предыдущих событий.
критиковать можно всегда, адекватную критику обычно принимают к сведению, а не близко к сердцу.
но тем не менее, в моих словах не было критики, всего лишь личное ощущение и опыт предыдущих событий.
Да, критиковать можно — тут я пережал с формулировкой. Но вот «где только возможно» — это вряд ли можно назвать адекватной и конструктивной критикой. Честно говоря, для меня это первый негативный опыт работы с «Хабром» — в остальном этот ресурс меня очень радует своей продуманностью и гибкостью (особенно на фоне остальных отечественных порталов).
я имел в виду аспект безопасности. тут хабрахабр помоему пережил все проколы user-ориентированых проектов, как и digg с facebook
Интересно. Можете привести пример?
могу? но лень. давно это было. гугл спасет.
чуть чуть о появлении черного властелина на главной с сайта, не заслуживающего доверия
чуть чуть о появлении черного властелина на главной с сайта, не заслуживающего доверия
Открою вам страшную тайну, только никому-никому не говорите! Хабрахабр написан одним (ОДНИМ) человеком. И этот человек реально крут, даже не смотря на эти все ошибки за последнее время.
А я так обрадовался, увидев 10 сообщений утром... :)
Мне сегодня тоже какой-то бред пришел на электропочту. Подписались "Хабрахабром".
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Я этого не делал